¿Gestión de identidades y postura de Zero confianza, que es?
Primeramente, comenzaremos diciendo que no hace mucho los principios de Confianza Zero o Zero Trust, era un tema a que toda empresa aspiraba, ahora ya sus adaptaciones son obligatorias.
Se sabe que más de la mayoría de las vulnerabilidades son por credenciales comprometidas o débiles, pero también el abuzo de privilegio representa un gran riesgo, por lo tanto, es necesario aplicar IAM (Identity and Access Management) o Gestión de Identidades y Acceso.
Entonces nos preguntamos que es IAM, es un Servicio Web que ayuda a controlar el acceso, es la seguridad del limites en la nube, la cual se debe tratar como la base fundamental de cualquier arquitectura de la nube pública segura. En Azure se ofrece un conjunto completo de servicios, herramientas y arquitecturas para que las empresas desarrollen entornos seguros y eficaces. Los ejemplos más claro son Azure Active Directory (Azure AD), el control de acceso basado en roles de Azure (RBAC de Azure) y las definiciones de roles personalizadas.
También para controlar se utilizan algunas tecnologías como la autenticación multifactor los cuales dan mayor seguridad.
- Códigos que son enviado por msn o via Email.
- Reconocimiento facial o dactilar.
- Códigos QR
Todo esto esta diseñado para que la relación entre la empresa y el usuario sea mas sencilla, actualmente se intenta reducir el uso de contraseña haciendo uso de la autenticación de otros sitios web, un ejemplo claro esta cuando se accede o se registra en una plataforma de video juego, se manda a solicitar al usuario que se registre con los datos de Facebook, Gmail, a esta practica se le llama Federación de Identidades, el cual le permite identificarte desde otra plataforma ya registrada.
La gestión de identidades funciona de la siguiente manera, para que el usuario haga su transacción dentro de una APP o Web, se lleva a cabo la autenticación, ya autenticado se pasa al proceso de autorización que le de el permiso para acceder a la transacción según su rol. Complementando el proceso se encuentra el de gobierno y análisis que permite evaluar todas las posibilidades de negar o restringir los permisos en función al rol desempeñado por el usuario, un ejemplo claro, el usuario que tiene permiso de administrar Recursos Humanos no tendría porque tener permisos para realizar ordenes de compra de activos o pasivos de la empresa.
La gestión de identidades Se debe de contemplar como un lenguaje de negocios en lugar de verlo como un simple acceso a una aplicación.
Zero confianza es un modelo de seguridad que nace para satisfacer las necesidades de las empresas en no confiar en todos los accesos ya sean internos o externos que pongan en peligro la seguridad de la empresa. El diseño esta basado en brindar seguridad a los usuarios y empresas antes los ataques cibernéticos.
Así como lo describimos anteriormente las identidades se protegen mediante el mecanismo de autenticación multifactor, dado que les permite configurar según la información de usuario y clientes, donde se puede elegir el nivel de autenticación.